1、#*基础网络解决方案2017-11-212目录前 言 .31. 需求总述 .41.1 网络结构描述: .41.2 客户需求 .42.网络方案总设计 .52.1 方案设计的依据 .52.2 网络方案拓扑图 .62.3 基础网络边界 .62.4 网络核心层 .82.5 网络接入层 .83.整体解决方案详细设计 .93.1 网络边界接入 .93.2 网络核心层 .113.3 网络接入层 .134.设备明细表 .155.设备规格参数 .165.1 PRO-4100 .165.2 GSM7324 性能参数 .175.3 FS752TS 性能参数 .203前 言感谢提供一次同北京公司合作的机会,并很荣幸地
2、为贵公司数据业务系统建设提供全面网络解决方案。在贵公司目前的网络现状以及数据综合业务建设需求的基础上,结合当前先进实用的网络技术以及技术选型的基本原则,我们提出了高性能的一体化解决方案。方案中采用了当今业界成熟的、高性能的网络设备,不仅满足了对高先进性、可用性、可靠性、高安全性、高性能、易于扩展等的需求,更降低了用户的风险,保障了用户的利益。作为业界的专业网络安全厂商,北京公司在产品、解决方案和人员等方面的投入是用户成功的保障,不仅如此,北京更以其高性能价格比的全面解决方案而蜚声全国。北京公司将是你的最佳的合作伙伴。有关本方案的任何问题,欢迎您随时与北京公司联系。北京41. 需求总述1.1 网
3、络结构描述:基础信息节点共 406 节点1.2 客户需求基础网络: 要求百兆链路接入终端.网络核心交换与网络接入均为千兆链路.对整体网络边界要有一个基础安全防护,如防护 DOS 攻击和 DDOS 攻击等四层以下的攻击,支持 NAT,路由,并且支持IPsecVPN.52.网络方案总设计2.1 方案设计的依据根据用户网络工程具体的技术要求,参照典型 IP 交换网的设计模式及原则,以采用先进成熟性技术手段为设计思路,充分发挥产品技术优势,结合最新网络技术发展,我们设计了以千兆位以太网交换技术为骨干,采用 NETGEAR GSM7324 新一代三层全千兆交换机产品的网络工程解决方案。(1)设备的先进性
4、与成熟性当今世界,通信技术和计算机技术的发展日新月异。本方案适应新技术发展的潮流,既兼顾了技术上的成熟性,同时也保证了系统的先进性。(2)系统的开放性系统在设计时均采用国际标准协议。网络管理基于 SNMP,支持 v1/v2c/v3 等三个版本,并支持 RMON 和 RMON2。(3)性能可扩展性首先在保障所有设备均可满足用户的目前需求,其次,又能轻松扩展以保障用户的将来升级。(4)高性能采用高性能的 Layer2 和 Layer3 交换机以及高性能路由器,提供线速交换和路由。采用线路捆绑和高带宽骨干链路以及负载分担技术,保证整个网络负载均衡,不存在瓶颈。(5)安全性、可靠性设计方案不但要保证理
5、论上可行,更重要的是实际上可用。要充分考虑具体情况,充分满足网络需求。为了使网络可靠地运行,本方案选用了高品质、高性能价格比的产品,把故障率降到最低。同时,我们采用了环状链接系统容错技术,当分支网络系统内某一点出现故障时,整个系统能快速的切换过来,仍然能够继续运行而不会造成停机,从而把损失降到最小,消取网络单点故障。(6)一体化的网络管理随着网络规模的扩大和系统复杂程度的增加,网络管理和故障排除就变得越来越困难。本方案将提供先进而完善的网络管理工具,包括设备级的管理和应用级的管理。(7)从实际出发6本着从实际情况出发,采用先进的网络技术,建立一个高速、宽带、扩充性能良好的计算机网络系统。2.2
6、 网络方案拓扑图I N T E R N E T基础网络拓扑图核心层防火墙接入层各部门计算机 , I P 电话千兆电缆百兆电缆F S 7 5 2 T SG S M 7 3 2 4网络设计思路说明:2.3 基础网络边界在网络的接入部分采用一台 SonicWALL-PRO4100-UTM 防火墙。SonicWALL-PRO4100 拥有 10个 10/100/1000 Mbps 自适应以太网接口 (1 x LAN, 1 x WAN, 和 8x 自定义端口),支持路由协议,双 WAN,多 WAN 链路备份,NAT 等功能,阻挡 DOS,四层以下的攻击, VPN 支持4000 个 VPN 点到点策略。7
7、ISP Failover & Load balancing链路备份及负载均衡随着计算机技术的发展,互联网已经成为最大的公共数据网络,在全球范围内实现并促进了个人通信和商业通信。互联网和企业网络上传输的数据流量每天都以指数级的速度迅速增长。越来越多的通信都通过电子邮件进行;移动员工、远程办公人员和分支机构都利用互联网来从远程连接他们的企业网络;而在互联网上通过 WWW 方式完成的商业贸易现在已经成为企业收入的重要组成部分。随着互联网的应用越来越多,带宽成为互联网应用的瓶颈,很多公司增加连接互联网的带宽,同时为了避免出现单点故障,所以会考虑采用双 ISP 线路。SonicWALL PRO 4100
8、 提供并且可自定义多达两个 WAN 口,支持两条 ISP 互联网接入线路,并提供线路备份及负载均衡,更大的优化网络接入的安全性,经济、有效的保证企业实时在线。ISP Failover 支持“active-passive” 线路备份架构;load balancing 支持 “active-active”均衡负载架构。利用 SonicWALL PRO 4100 多端口特性,更有效地防止重要的企业资源受到威胁,所有接口都支持防火墙拒绝服务和攻击的防御功能,保证不受内部和外来的的威胁。82.4 网络核心层核心层采用一台 GSM7324 为高密度的千兆接口接入提供了 4 个小型的可热插拔(SFP)千兆端
9、口用于光纤连接,24 个的自适应 10/100/1000 Mbps 端口用于铜缆连接。采用一台核心设备可以实现对整体网络高速流量交换。整个与核心交换机采用千兆电口与接入层相连接,强健的安全特性包括 IEEE 802.1x 基于端口的安全认证和高级访问控制列表ACL 等功能特性,确保只有认证过的用户才能访问你的网络。2.5 网络接入层信息节点共 406 个, 接入层推荐使用 FS752TS,FS752TS 拥有 48 个 10/100M 端口自适应, 4 个 10/100/1000M 千兆铜缆 RJ45 端口自适应, 2 个 SFP GBIC 光纤模块插槽。接入层推荐使用 FS752TS(9 台
10、) 。接入层的交换机也采用千兆电口与核心交换机相连接, FS 系列为智能交换机。安特性加入了 802.1x 安全,端口流量限速(rate limiting) ,端口和 MAC锁定以及第三层优先级别区分等高级安全功能性。这些特性可以为用户提供灵活接入控制方式。93.整体解决方案详细设计3.1 网络边界接入防火墙采用 SonicWALL-PRO4100-UTM 防火墙,SonicWALL-PRO4100 拥有 10 个10/100/1000 Mbps 自适应以太网接口 (1 x LAN, 1 x WAN, 和 8x 自定义端口) ,支持路由协议,双 WAN,多 WAN 链路备份, NAT 等功能,
11、阻挡 DOS,四层以下的攻击, VPN 支持 4000 个 VPN 点到点策略。虚拟专用网(VPN)VPN(Virtual Private Networking 虚拟专用网)就是在公共网络基础上( Internet)利用安全、认证、加密等技术建立企业的专用线路,也就是一个安全的网络隧道(TUNNEL),在降低联网费用的同时确保信息的安全性、完整性和真实性。VPN 虚拟专网,是一个通过利用公用基础网络为企业各部门提供安全的互联网服务,它可以提供与昂贵的专线(DDN)类似的安全性,可靠性,可管理性和优先级别,可构筑于 IP 网络,帧中继网络和 ATM 网络上。通过 VPN 功能, SonicWAL
12、L VPN 安全地将公司的各个办公地点、移动和远程办公者、商业伙伴连接在一起。 SonicWALL VPN 使用数据加密,使两个或更多的点或 LAN 之间通过 Internet 实现安全通信,而无需昂贵的专线。可通过 IP 地址或动态域名(DDNS )建立 VPN。Sonicwall VPN 采用 IPSec 协议标准,可与其他执行 IPSec 标准的 VPN 产品共同使用,如AXENT RAPTOR、Check point 的 Firewall-1、CISCO PIX 等。加密方法有 56 位的DES、168 位的 3DES、56 位的 ARC4 和最新的 AES-256 位加解密。1042
13、分 布 式 企 业高 性 能 的 VPN和 增 强 的 NAT模 式 , 使SonicWAL安 全 容 易 地 连 接 到 远 程fies,合 作 伙 伴 和 远 程 办 公 人 员 .Features190 Mbp 硬 件 IPSecVPN增 强 的 NAT模 式在 任 何 接 口 上 终 结 点 到 点 和 客 户 端 VPN容 易 使 用 的 GSC, GVC屡 获 大 奖 的 GMS管 理 软 件 和 ViewPoint报表 软 件Remote WorkersTelcomutersPartnersRemote/Branch Ofices Corprate Headqurtrs192.1
14、0.x/16192.10.x/16192.10.1.x/16192.0.12.x/16192.10.3.x/16Global Security Client/VPN litSonicWAL TZ 170SonicWAL PRO 204VPN 客户端 (软件 )VPN 客户端视为用户创建全面的远程、移动用户接入解决方案。SonicWALL 的 Global VPN Client 软件能够帮助移动工作者提高效率,使他们在任何地点、任何 IP 网络环境中,都可以通过宽带、无线或是拨号上网的方式灵活、安全地接入到公司网络。移动用户只需键入一个主机名或 IP 地址,VPN 的配置信息就会自动地从 Son
15、icWALL VPN 网关上下载并进行连接。此外,与目前一些不易安装和管理的 VPN 客户解决方案相比,Global VPN Client 的自动策略提供功能还可以为终端用户提供更清晰的安装过程,从而减轻网管员的负担。自动策略提供功能是 SonicWALL 的独创技术,IT 管理员能够用它维护并更新群组的安全策略,以响应业务变化的需求,而无需对每一个终端用户的安全策略逐一进行手动调节。当用户尝试进入 VPN 时,SonicWALL 的网关会自动识别每一个用户,然后为他分配一个加密的安全策略。通过认证的用户能够使用最新的安全策略及时、安全地接入 VPN,而未被认证的用户则会被阻挡在网络之外,SonicWALL 这一独创的系统大大地减轻了管理员的工作量,减少了用户的配置错误,使 SonicWALL 解决方案成为有效创建群组 VPN 的首选方案。